Slo-Tech - Na internet je iz koncerna Mercedes-Benz ušlo več zaupnih podatkov vključno z izvorno kodo, je odkril tehnični direktor podjetja RedHunt Labs Shubham Mittal. Eden izmed zaposlenih v koncernu je na javno dostopen repozitorij Github naložil identifikacijski žeton (authentication token). Ta je omogočal dostop do Mercedesovega GitHub Enterprise Server, kjer je bila objavljena tudi izvorna koda v računalniških sistemih njihovih avtomobilov, ključi za dostop do Azura in AWS-ja ter podatkovne baze Postgres. V repozitoriju so bili ključi, načrti, dizajni, gesla, ključi API in druge občutljive informacije.
Varnostni spodrsljaj so odkrili minuli ponedeljek in jo prijavili Mercedesu, ki je dva dni pozneje onemogočil omenjeni žeton. Tiskovna predstavnica koncerna je potrdila, da je podjetje kodo na Githubu javno objavilo zaradi človeške napake. Incident bodo analizirali in sprejeli ustrezne varovalne ukrepe, o katerih niso podrobneje spregovorili. Žeton je bil na voljo od septembra lani, ni pa znano, ali ga je kdo dejansko uporabil in prenesel podatke. Mercedes ni želel komentirati, ali je bil dostop nadzorovan oziroma ali obstajajo dnevniški zapisi o morebitnem dostopu.
@utk problem je tukaj: ključi za dostop do Azura in AWS-ja ter podatkovne baze Postgres. In če imaš izvorno kodo , lahko marsikaj noter podtakneš in naložiš na njihove strežnike
Zakaj bi bila objava kode sama po sebi varnostno tveganje?
Ker tisti, ki se na to spoznajo, lažje izdelajo zlonamerno programsko opremo. Npr. iz kode se lahko izve, da je v sistemu vnosno polje, katerega vsebino se ne preverja npr. po dolžini. S tem lahko sesuješ sistem ali pa vrineš svojo kodo. Ali še huje, izvedeš SQL vrivanje, če gre za tak primer kode. Da ne omenjam, da se s tem lahko razkrije slabo implementirane varnostne mehanizme. Stvar je sploh občutljiva, če gre za varnostne mehanizme, ki so kakorkoli lahko manipulirani brezžično, kar je pri modernih avtih pogosto (razne keyless finte in mobilne aplikacije za nadzor avta).
No no, trdit na slo-techu, da je close-source inherentno bolj varen je kar pogumno dejanje...
Čisto malo bolj varen vseeno je. Hekerjem je verjetno bistveno lažje najti ranljivost v C kodi kot v assembler kodi, še posebej, če je v uporabi kakšen "Code Obfuscation".
No no, trdit na slo-techu, da je close-source inherentno bolj varen je kar pogumno dejanje...
V zaprtokodnih programih se pogosto pušča skrite funkcionalnosti (luknje) in se zanaša na obfuskacijo. Zato je pogosto manj varen, če pa še obfuskacije ni je pa še toliko lažje najti luknje.
Varnostna luknja obstaja tudi brez javne kode. Če je nekdo hoče najt in izkoristit, ga zaprta koda ne bo za dolgo zaustavila.
Načeloma drži. A če imaš izvorno kodo, lahko ranljivost najdeš bistveno lažje.
Enako velja za vse vrste šifiranja. Vsako šifrirano vsebino je možno dešifrirati brez ključa. Nihče ne pravi, da to ni možno. Poanta je, da brez ključa to traja predolgo. Enaka poanta je pri closed-source. Morda traja toliko, da se je vmes closed-source spremenil.
Sej meni je to jasno. V teoriji je open-source bolj varen, ampak samo v teoriji, ker si praktično nihče ne more privoščit naredit stvar zares varno. Vsi, ki mislijo, da imajo stvar varno, to mislijo samo da prve katastrofe.
Ampak vprašaj forumske kite, večinoma mode, ki nam tu že 20 let dopovedujejo, da je open-source varnejši in bolj praktičen, ker si vsak lahko zakrpa luknjo. Resnica je seveda daleč od tega. Če se bo kdo od njih že oglasil sploh v tej temi, bo pa reku, da če bi mercedes to naredil prav, ne bi bilo nobenga problema zarad razkrite kode (čeprav, čudno potem da v novici piše, da je to vseeno problem). Jasno pa je, da mercedes tega NI naredil prav, ne rabim za to niti videt kode, in jasno tudi da niti noben drug proizvajalec ni naredil tega prav.
V teoriji je open-source bolj varen, ampak samo v teoriji, ker si praktično nihče ne more privoščit naredit stvar zares varno. Vsi, ki mislijo, da imajo stvar varno, to mislijo samo da prve katastrofe.
Open-source je bolj varen iz istega razloga, zaradi katerega je close-source nevaren, ko pride do razkritja. In ta razlog je: na izvorni kodi prej najdeš napako.
Ni pa open-source sam po sebi varen. Če imaš odprto kodo, ki je nihče ne pogleda, potem te varnosti ni. Če se prav spomnim, je en naredil nekaj takega v enem od popularnih Node paketov, vstavil nevarno kodo, jo pustil precej časa, nato pa napisal članek, kako tega nihče ni opazil.
Odprta koda je bolj varna v praksi, zaprta pa v teoriji. Če bi zaprto kodo pisali kakor da bo objavljena bi imela v teoriji morda malo prednosti (še vedno pa bi težko sam popravil). V odprti kodi se ne moreš zanašati na obfuskacijo, kar je kar praksa v zaprti kodi. Ostale bolj kompleksne luknje (nenamerne ali zakamuflirane) je pa tudi če imaš kodo težko najti in jih običajno najdejo z "fuzzing" testiranjem, kjer ne rabiš kode.
@utk problem je tukaj: ključi za dostop do Azura in AWS-ja ter podatkovne baze Postgres. In če imaš izvorno kodo , lahko marsikaj noter podtakneš in naložiš na njihove strežnike
kako to mislis? Ce si ze uspel kaj mergat se vedno je traceability pa lahko revertas - tako, da podtaknes lahko samo, ce je nekdo resnicno ignorantski.
Zakaj bi na open-source uporabljal obfuskacijo? Poanta obfuskacija je narediti kodo manj berljivo. To je najbolj anti-open-source operacija, kar jih je.
Ampak vprašaj forumske kite, večinoma mode, ki nam tu že 20 let dopovedujejo, da je open-source varnejši in bolj praktičen, ker si vsak lahko zakrpa luknjo. Resnica je seveda daleč od tega. Če se bo kdo od njih že oglasil sploh v tej temi, bo pa reku, da če bi mercedes to naredil prav, ne bi bilo nobenga problema zarad razkrite kode (čeprav, čudno potem da v novici piše, da je to vseeno problem). Jasno pa je, da mercedes tega NI naredil prav, ne rabim za to niti videt kode, in jasno tudi da niti noben drug proizvajalec ni naredil tega prav.
Ti v resnicni prav nicesar ne razumes okrog odprte kode in si zgleda namenoma stvari narobe razlagas. No ja, vsakomur svoje.
@Utk: varnost odprte kode prihaja od ljudi, ne od oznake "open-source". Če je koda open-source, jo lahko vidijo ljudje, ki so pametnejši od izvornega pisca kode, opozorijo na napake in s tem izboljšajo varnost. Če teh ljudi ni, ti oznaka "open-source" ne izboljša varnosti. Lahko je celo obratno. Kodo si pogledajo samo zlonamerni, ki ne javijo napake, ampak jo izrabijo.
Zakaj bi na open-source uporabljal obfuskacijo? Poanta obfuskacija je narediti kodo manj berljivo. To je najbolj anti-open-source operacija, kar jih je.
Razne 3 črkovne agencije uspešno v open-source projekte vrivajo stvari, ki jih je zelo težko v praksi implementirati tako, da so bugfree ter varne. Npr razne eliptične krivulje, IPsec protokol.
Zakaj bi na open-source uporabljal obfuskacijo? Poanta obfuskacija je narediti kodo manj berljivo. To je najbolj anti-open-source operacija, kar jih je.
Zakaj bi na open-source uporabljal obfuskacijo? Poanta obfuskacija je narediti kodo manj berljivo. To je najbolj anti-open-source operacija, kar jih je.
Razne 3 črkovne agencije uspešno v open-source projekte vrivajo stvari, ki jih je zelo težko v praksi implementirati tako, da so bugfree ter varne. Npr razne eliptične krivulje, IPsec protokol.
The Underhanded C Contest is a programming contest to turn out code that is malicious, but passes a rigorous inspection, and looks like an honest mistake even if discovered. The contest rules define a task, and a malicious component. Entries must perform the task in a malicious manner as defined by the contest, and hide the malice.
Trolam vas, ki pravite, da z odprto kodo si lahko vsak popravi napake, to je govoril jype do onemoglosti, in da če je koda javna, lahko vsak preveri, če je varna. Če je mercedes naredil vse prav, to nič ne ogroža varnosti (avtov). Če ni naredil prav, je prav, da se bo to zdaj razkrilo. Če se bo. Kje se motim? Jaz vem kje...tam, kjer naj bi mercedes to naredil prav. Vsi vemo da ni. In tam, kjer naj bi mercedes zdaj to prisililo da naredi tokrat prav, kar ne bo.
Pred kratkim bral, da je Mercedes ubral John Deere taktiko, kar se rezervnih delov tiče in da praktično ne dovoljuje tretjim osebam servisiranje novejših vozil. Če so bili dostopni ključi, potem je bila ta luknja zlata jama za neodvisne serviserje.
